በዚህ ጽሁፍ ስለ ማይጨው ማልዌር ተከታታይ ህትመቶችን እንጀምራለን። ፋይል-አልባ የጠለፋ ፕሮግራሞች፣ እንዲሁም ፋይል-አልባ የጠለፋ ፕሮግራሞች በመባልም የሚታወቁት፣ ጠቃሚ ይዘትን ለመፈለግ እና ለማውጣት ትዕዛዞችን በጸጥታ ለማስኬድ በተለምዶ PowerShellን በዊንዶውስ ሲስተም ይጠቀማሉ። ያለ ተንኮል አዘል ፋይሎች የጠላፊ እንቅስቃሴን መለየት ከባድ ስራ ነው፣ ምክንያቱም... ጸረ-ቫይረስ እና ሌሎች በርካታ የፍተሻ ስርዓቶች በፊርማ ትንተና ላይ ተመስርተው ይሰራሉ። ግን ጥሩ ዜናው እንደዚህ አይነት ሶፍትዌር መኖሩ ነው. ለምሳሌ,
የባዳስ ጠላፊዎችን ርዕስ መመርመር ስጀምር፣
ታላቁ እና ኃይለኛ PowerShell
ስለነዚህ አንዳንድ ሀሳቦች ቀደም ብዬ ጽፌያለሁ
ከራሳቸው ናሙናዎች በተጨማሪ በጣቢያው ላይ እነዚህ ፕሮግራሞች ምን እንደሚሠሩ ማየት ይችላሉ. ድብልቅ ትንተና ማልዌርን በራሱ ማጠሪያ ውስጥ ያስኬዳል እና የስርዓት ጥሪዎችን፣ ሂደቶችን እና የአውታረ መረብ እንቅስቃሴን ይቆጣጠራል፣ እና አጠራጣሪ የጽሑፍ ሕብረቁምፊዎችን ያወጣል። ለሁለትዮሽ እና ሌሎች ሊተገበሩ የሚችሉ ፋይሎች፣ i.e. ትክክለኛውን የከፍተኛ ደረጃ ኮድ እንኳን ማየት በማይችሉበት፣ ድቅል ትንተና የሚወስነው ሶፍትዌሩ ተንኮል አዘል ወይም አጠራጣሪ መሆኑን በሚሰራበት ጊዜ እንቅስቃሴ ላይ ነው። እና ከዚያ በኋላ ናሙናው ቀድሞውኑ ይገመገማል.
በPowerShell እና በሌሎች የናሙና ስክሪፕቶች (Visual Basic፣ JavaScript፣ ወዘተ)፣ ኮዱን እራሱ ለማየት ችያለሁ። ለምሳሌ፣ ይህን የPowerShell ምሳሌ አጋጥሞኛል፡-
እንዳይታወቅ ለማድረግ PowerShellን በbase64 ኢንኮዲንግ ማሄድ ይችላሉ። መስተጋብራዊ ያልሆኑ እና የተደበቁ መለኪያዎች አጠቃቀምን ልብ ይበሉ።
በመደበቅ ላይ የእኔን ጽሁፎች ካነበብክ፡-e የሚለው አማራጭ ይዘቱ ቤዝ64 ኮድ መያዙን እንደሚገልጽ ታውቃለህ። በነገራችን ላይ, ድቅል ትንተና ሁሉንም ነገር ወደ ኋላ በመለየት ይህንን ይረዳል. ቤዝ64 PowerShellን (ከዚህ በኋላ PS ተብሎ የሚጠራውን) እራስዎ መፍታት መሞከር ከፈለጉ ይህንን ትዕዛዝ ማስኬድ ያስፈልግዎታል:
[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($EncodedText))
ወደ ጥልቅ ይሂዱ
ይህን ዘዴ ተጠቅሜ የኛን PS ስክሪፕት ዲኮድ አድርጌዋለሁ፡ የፕሮግራሙ ጽሁፍ ከዚህ በታች ቀርቧል፣ በእኔ ትንሽ ቢቀየርም፡-
ስክሪፕቱ ከሴፕቴምበር 4 ቀን 2017 ጋር የተቆራኘ እና የተላለፈ የክፍለ ጊዜ ኩኪዎች መሆኑን ልብ ይበሉ።
ስለዚህ የጥቃት ዘይቤ ጻፍኩ
ምን ያደርጋል?
ለደህንነት ሶፍትዌሮች የዊንዶውስ ክስተት ምዝግብ ማስታወሻዎችን ወይም ፋየርዎሎችን ለመቃኘት ቤዝ64 ኢንኮዲንግ "WebClient" የሚለውን ሕብረቁምፊ በግልፅ የጽሁፍ ጥለት እንዳይገኝ ይከላከላል። እና ሁሉም የተንኮል አዘል ዌር “ክፋት” ወርዶ ወደ እኛ ፓወር ሼል ስለሚተላለፍ ይህ አካሄድ ከማግኘታችን ሙሉ በሙሉ እንድንሸሸግ ያስችለናል። ወይም ይልቁንስ በመጀመሪያ ያሰብኩት ነው።
በዊንዶውስ ፓወር ሼል የላቀ ምዝግብ ማስታወሻ በነቃ (ጽሑፌን ይመልከቱ) በክስተት ምዝግብ ማስታወሻ ውስጥ የተጫነውን መስመር ማየት ይችላሉ ። እኔ እንደ ነኝ
ተጨማሪ ሁኔታዎችን እንጨምር
ጠላፊዎች የ PowerShell ጥቃቶችን በማይክሮሶፍት ኦፊስ ማክሮዎች በ Visual Basic እና በሌሎች የስክሪፕት ቋንቋዎች ይደብቃሉ። ሐሳቡ ተጎጂው መልእክት ይቀበላል, ለምሳሌ ከማድረስ አገልግሎት, በ .doc ቅርጸት የተያያዘ ዘገባ. ማክሮውን የያዘውን ይህን ሰነድ ይከፍቱታል፣ እና ተንኮል አዘል ፓወር ሼልን ራሱ ያስነሳል።
ብዙ ጊዜ ቪዥዋል ቤዚክ ስክሪፕት እራሱ የተደበቀ በመሆኑ ከጸረ-ቫይረስ እና ከሌሎች የማልዌር ስካነሮች ነፃ ይወጣል። ከላይ ባለው መንፈስ፣ ከላይ ያለውን PowerShellን በጃቫ ስክሪፕት እንደ ልምምድ ለማድረግ ወሰንኩ። የሥራዬ ውጤት ከዚህ በታች ቀርቧል።
የተደበቀ ጃቫ ስክሪፕት የእኛን PowerShell እየደበቀ ነው። እውነተኛ ጠላፊዎች ይህንን አንድ ወይም ሁለት ጊዜ ያደርጉታል.
ይሄ በድሩ ዙሪያ ሲንሳፈፍ ያየሁት ሌላ ዘዴ ነው፡- ኮድ ሼልን ለማሄድ Wscript.Shellን መጠቀም። በነገራችን ላይ ጃቫ ስክሪፕት ራሱ ነው።
በእኛ ሁኔታ፣ ተንኮል አዘል JS ስክሪፕት ከ.doc.js ቅጥያ ጋር እንደ ፋይል ተካቷል። ዊንዶውስ በተለምዶ የመጀመሪያውን ቅጥያ ብቻ ያሳያል፣ ስለዚህ ለተጎጂው እንደ Word ሰነድ ሆኖ ይታያል።
የJS አዶ በጥቅልል አዶ ውስጥ ብቻ ነው የሚታየው። ብዙ ሰዎች ይህን ዓባሪ የ Word ሰነድ ነው ብለው ቢከፍቱት ምንም አያስደንቅም።
በእኔ ምሳሌ ስክሪፕቱን ከድር ጣቢያዬ ለማውረድ ከላይ ያለውን PowerShell አስተካክዬዋለሁ። የርቀት ፒኤስ ስክሪፕት "Evil Malware" ብቻ ያትማል። እንደምታየው, እሱ በጭራሽ ክፉ አይደለም. በእርግጥ እውነተኛ ጠላፊዎች በትእዛዝ ሼል በኩል ወደ ላፕቶፕ ወይም አገልጋይ ማግኘት ይፈልጋሉ። በሚቀጥለው ጽሁፍ PowerShell ኢምፓየርን በመጠቀም ይህንን እንዴት ማድረግ እንደሚችሉ አሳያችኋለሁ።
ለመጀመሪያው የመግቢያ መጣጥፍ ወደ ርዕሰ ጉዳዩ በጥልቀት እንዳልገባን ተስፋ አደርጋለሁ። አሁን ትንሽ እንድትተነፍስ እፈቅዳለሁ፣ እና በሚቀጥለው ጊዜ ያለምንም አላስፈላጊ የመግቢያ ቃላት ወይም ዝግጅት ፋይል አልባ ማልዌርን በመጠቀም የጥቃት ምሳሌዎችን መመልከት እንጀምራለን።
ምንጭ: hab.com